New IronWorm malware hits 36 packages in npm supply-chain attack

1 minute de lecture

Mis à jour : June 04, 2026

Attaque de la chaîne d’approvisionnement npm par le malware IronWorm

Une campagne malveillante a infecté 36 paquets sur le registre npm avec IronWorm, un malware écrit en Rust visant à exfiltrer des données sensibles (identifiants AWS, OpenAI, Anthropic, clés SSH, configurations de coffres-forts et portefeuilles de cryptomonnaies).

Points clés :

Mode opératoire : Le malware utilise des techniques de persistance sophistiquées, notamment un rootkit noyau eBPF et des communications via Tor.
Propagation : Il se propage automatiquement en utilisant les identifiants volés aux développeurs ou aux systèmes CI/CD pour publier des versions corrompues de paquets légitimes.
Technique d’évasion : Les attaquants manipulent les horodatages des commits pour remonter jusqu’à 13 ans en arrière afin de tromper les analystes.
Exfiltration : Bien que non utilisé dans cette itération, le malware possède une capacité d’exfiltration via les artefacts de build GitHub Actions, dissimulant les données volées sous forme de rapports de linting ou de formatage.
Origine : L’attaque semble liée à des opérations similaires (comme Shai Hulud) et a été initiée par le compte compromis asteroiddao.

Vulnérabilités :

Aucune CVE spécifique n’est associée, car il s’agit d’une compromission de la chaîne d’approvisionnement logicielle via l’injection de code malveillant dans des paquets légitimes (attaque de type “poisoning”).
La vulnérabilité réside principalement dans le processus de publication automatique (Trusted Publishing) qui, une fois compromis, permet une automatisation de la propagation malveillante.

Recommandations :

Révision immédiate : Vérifier si les paquets npm utilisés figurent parmi la liste des éléments compromis (fournie par Ox Security).
Rotation des secrets : Renouveler immédiatement toutes les clés d’API, jetons d’accès et mots de passe qui auraient pu être exposés sur les machines de développement ou les serveurs CI/CD.
Sécurisation des accès : Activer l’authentification à deux facteurs (2FA) sur tous les comptes liés à la gestion de paquets et aux plateformes de développement.
Mise à jour : Migrer vers les versions saines des paquets une fois les correctifs publiés.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New IronWorm malware hits 36 packages in npm supply-chain attack

Attaque de la chaîne d’approvisionnement npm par le malware IronWorm

Partager sur

Vous pourriez aimer

WhatsApp, Slack Notifications Could Hijack Google Gemini on Android

Exploitation par injection de prompt via les notifications Android sur Google Gemini

U.S. sanctions Nobitex crypto exchange used by Iranian ransomware actors

Sanctions américaines contre les plateformes crypto iraniennes impliquées dans le ransomware

UN food agency discloses breach affecting 600,000 Gaza households

Cyberattaque contre le Programme Alimentaire Mondial à Gaza

ThreatsDay Bulletin: AI Agents Gone Wrong, Sketchy C2 Tools, ClickFix Tricks, JS Backdoors & 20+ New Stories

État des menaces : prolifération des tactiques d’ingénierie sociale et automatisation des attaques